목차 01) REV) A token of your love, ThenanoGPT 02) WEB) pixel-bot, LLPM 03) WEB) YellowDog-1, YellowDog 2, Long Horn 1, Long Horn 2, Long Horn mp3 04) PWN) nl2sh 1, nl2sh 2 / INJECTION) Super Spy 2024.04.13~14 약24시간동안 진행된 CTF. 원래 참여할 계획이었던 PlaidCTF와 동시간대에 개최되었다. 최근 AI에 관심이 많았기 때문에 알고있는 것을 잘 정리해볼 생각으로 참여하게되었다. 분야별로 정리되어있긴 했어도 어려운 기술이 필요한 문제는 별로 없었다. 대부분 기초만 알아도 풀만한 문제들로 구성되어있었다. LLM 기반이다 보니 당연히 출제자..

Education 20.03 ~ (24.08 졸업예정)가톨릭대학교 / 컴퓨터정보공학부 / 학사 21.03 ~가톨릭대학교 침해사고대응팀 'CAT-CERT' / 정보보안동아리 'CAT-Security' Awards 21.11.11Power Of XX(여성해킹방어대회) / PoC·SISS(숙명여대)3위 / 'CAT-Security' 팀장 22.10.18우리은행·금융보안원 모의해킹 대회 우리콘(WooriCON) / 우리은행·금융보안원장려상 (4위) / 'White-CAT' 팀장https://www.etnews.com/20221019000052 22.11.11Power Of XX(여성해킹방어대회) / PoC·SISS(숙명여대)3위 / 'R2P2' 팀장 23.11.01금융보안경진대회 FIESTA 대학(원) 생 / ..

목차 01) 시나리오 - 랜섬웨어 1 02) 시나리오 - 공급망 공격 1, 2 03) 시나리오 - APT 1, 2 04) 시나리오 - 악성 앱 1, 2 05) 침해대응 - 문제 3 침해대응 - 문제 3 (300+88 pts) 주어진 pcapng 파일을 살펴보니 많은 수의 패킷에서 공격 시도를 확인할 수 있었다. 공격 ip는 192.168.152.130이었으며, 주고받은 패킷이 너무 많아 하나하나 살펴보기는 힘들어 보였다. HTTP packet counter을 통해 http request 패킷의 통계를 살펴본 결과 POST 과 GET 형식의 패킷에 눈에 띄었고, POST가 GET에 비해 개수가 적고 공격 가능성이 높아 보였기 때문에 POST 패킷을 필터링해 살펴보았다. Follow TCP Stream 기능..

목차 01) 시나리오 - 랜섬웨어 1 02) 시나리오 - 공급망 공격 1, 2 03) 시나리오 - APT 1, 2 04) 시나리오 - 악성 앱 1, 2 05) 침해대응 - 문제 3 시나리오 - 악성 앱 1 (100+73 pts) 홈페이지 접속 시 apk 파일 다운 기능이 있다. ‘f’인자 매개변수 base64 디코딩 결과는 웹 경로로 추측되는 ‘files/fastpayments_v1.13243.apk’이다. ‘../../../../../../etc/passwd’를 base64 인코딩하여 전달한 결과 /etc/passwd 파일을 획득했다. 이는 파일 다운로드 취약점이 존재함을 의미한다. 파일 다운로드 취약점으로 ‘/proc/self/cmdline’을 읽어 서비스 이름이 ‘web/app.py’인 것을 확인한..

목차 01) 시나리오 - 랜섬웨어 1 02) 시나리오 - 공급망 공격 1, 2 03) 시나리오 - APT 1, 2 04) 시나리오 - 악성 앱 1, 2 05) 침해대응 - 문제 3 시나리오 - APT 1 (50+63 pts) EML Extractor 툴을 이용하여 .eml파일에서 첨부파일을 추출하였다. https://github.com/diogo-alves/eml-extractor GitHub - diogo-alves/eml-extractor: A python package to extract attachments from .eml files (email messages saved as files) A python package to extract attachments from .eml files (em..

목차 01) 시나리오 - 랜섬웨어 1 02) 시나리오 - 공급망 공격 1, 2 03) 시나리오 - APT 1, 2 04) 시나리오 - 악성 앱 1, 2 05) 침해대응 - 문제 3 시나리오 - 공급망 공격 1 (100+82 pts) 문제에서 제공한 fiestaFTP.exe를 실행시키면 신용카드 결제 기능을 통해 아래 그림과 같이 카드정보를 입력하고 FTP 서버로 승인 요청 패킷을 보낼 수 있다 이 과정을 프로세스 모니터와 와이어샤크를 통해 모니터링하였다. 프로세스 모니터를 통해 40.82.159.132:1337로 패킷을 주고받는 것을 확인할 수 있었고 와이어샤크로 해당 ip로의 통신을 TCP Stream Follow 기능을 통해 패킷 통신 내용을 확인한 결과 파일 전송 프로토콜 형태로 주고받는 통신 내용..